在公開披露僅數小時后，黑客就開始利用WordPress的OttoKit（原SureTriggers）插件中一個可繞過身份驗證的高危漏洞。安全專家強烈建議用戶立即升級至本月初發布的OttoKit/SureTriggers最新版本1.0.79。

插件功能與影響范圍

OttoKit插件允許用戶無需編寫代碼即可連接WooCommerce、Mailchimp和Google Sheets等外部工具，實現發送郵件、添加用戶或更新客戶關系管理系統（CRM）等自動化操作。據統計，該插件目前被10萬個網站使用。

漏洞技術細節

Wordfence安全團隊昨日披露了編號為CVE-2025-3102的身份驗證繞過漏洞，影響所有1.0.78及之前版本的SureTriggers/OttoKit插件。漏洞根源在于處理REST API身份驗證的_authenticate_user()_函數未對空值進行檢查——當插件未配置API密鑰時，存儲的_secret_key_將保持為空值。

存在漏洞的代碼來源：Wordfence

攻擊者通過發送空的_st_authorization_請求頭即可繞過檢查，獲得受保護API端點的未授權訪問權限。該漏洞本質上允許攻擊者在未經認證的情況下創建新的管理員賬戶，存在網站完全被接管的高風險。

漏洞披露與修復時間線

安全研究員"mikemyers"于3月中旬發現該漏洞并報告給Wordfence，獲得了1,024美元的漏洞賞金。插件開發商于4月3日收到完整漏洞詳情后，當天即發布1.0.79版本修復補丁。

黑客快速利用情況

WordPress安全平臺Patchstack研究人員警告稱，漏洞公開后僅數小時就監測到實際攻擊嘗試。"攻擊者迅速利用該漏洞，我們數據庫添加漏洞補丁記錄后僅四小時就捕獲到首次攻擊嘗試，"Patchstack報告指出。研究人員強調："這種快速利用現象凸顯了漏洞公開后立即應用補丁或緩解措施的極端重要性。"

攻擊者使用隨機生成的用戶名/密碼和郵箱組合嘗試創建管理員賬戶，顯示出自動化攻擊特征。安全團隊建議所有OttoKit/SureTriggers用戶立即升級至1.0.79版本，并檢查日志中是否存在異常管理員賬戶創建、插件/主題安裝、數據庫訪問事件以及安全設置修改等可疑活動。